نبذة حول محتوى أمان watchOS 5

يتناول هذا المستند محتوى أمان watchOS 5.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

watchOS 5

تاريخ الإصدار: 17 سبتمبر 2018

CFNetwork

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4126:‏ ‎Bruno Keith (@bkth_)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تاريخ إضافة الإدخال: 30 أكتوبر 2018

CoreFoundation

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4412:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

تاريخ إضافة الإدخال: 30 أكتوبر 2018

CoreFoundation

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4414:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

تاريخ إضافة الإدخال: 30 أكتوبر 2018

CoreText

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف نصي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2018-4347: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 30 أكتوبر 2018

dyld

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات الضارة من تعديل أجزاء محمية من نظام الملفات

الوصف: تمت معالجة مشكلة تتعلق بالتكوين من خلال فرض قيود إضافية.

CVE-2018-4433:‏ Vitaly Cheptsov

تاريخ إضافة الإدخال: 22 يناير 2019

Grand Central Dispatch

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4426:‏ Brandon Azad

تاريخ إضافة الإدخال: 30 أكتوبر 2018

Heimdal

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4331:‏ Brandon Azad

CVE-2018-4332:‏ Brandon Azad

CVE-2018-4343:‏ Brandon Azad

تاريخ إضافة الإدخال: 30 أكتوبر 2018

IOHIDFamily

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4408:‏ Ian Beer من Google Project Zero

تاريخ إضافة الإدخال: 30 أكتوبر 2018، تاريخ التحديث: 1 أغسطس 2019

IOKit

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن تطبيق ضار من اختراق وضع حمايته

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4341:‏ Ian Beer من Google Project Zero

CVE-2018-4354:‏ Ian Beer من Google Project Zero

تاريخ إضافة الإدخال: 30 أكتوبر 2018

IOKit

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسنة للحالة.

CVE-2018-4383:‏ Apple

تاريخ إضافة الإدخال: 24 أكتوبر 2018

IOUserEthernet    

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4401:‏ Apple

تاريخ إضافة الإدخال: 30 أكتوبر 2018

iTunes Store

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من انتحال مطالبات كلمات السر في iTunes Store

الوصف: تمت معالجة مشكلة متعلقة بالتحقق من صحة الإدخال من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4305:‏ Jerry Decime

Kernel

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: توجد مشكلة تحقق من الإدخال في kernel. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4363:‏ Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4336:‏ Brandon Azad

CVE-2018-4337:‏ Ian Beer من Google Project Zero

CVE-2018-4340:‏ ‎Mohamed Ghannam (@_simo36)‎

CVE-2018-4344:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

CVE-2018-4425:‏ cc بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro،‏ ‎Juwei Lin (@panicaII)‎ من Trend Micro بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تاريخ إضافة الإدخال: 24 سبتمبر 2018، تاريخ التحديث: 30 أكتوبر 2018

Kernel

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكّن تطبيق ضار من تسريب معلومات المستخدم الحساسة

الوصف: وجود مشكلة في الوصول لدى استدعاءات واجهة برمجة التطبيقات API المميزة. وقد تمت معالجة هذه المشكلة من خلال فرض قيود إضافية.

CVE-2018-4399:‏ ‎Fabiano Anemone (@anoane)‎

تاريخ إضافة الإدخال: 30 أكتوبر 2018

Kernel

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن.

CVE-2018-4407:‏ Kevin Backhouse من Semmle Ltd.

تاريخ إضافة الإدخال: 30 أكتوبر 2018

Safari

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يستطيع مستخدم محلي التعرّف على المواقع التي زارها مستخدم

الوصف: وُجدت مشكلة تعارض في التعامل مع لقطات التطبيقات. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للقطات التطبيقات.

CVE-2018-4313:‏‏ 11 من الباحثين غير معلومي الهوية، وDavid Scott ‏وEnes Mert Ulu من ‎Abdullah Mürşide Özünenek Anadolu Lisesi - Ankara/Türkiye‎، و‏Mehmet Ferit Daştan من Van Yüzüncü Yıl University، و‏Metin Altug Karakaya من Kaliptus Medical Organization، ‏وVinodh Swami من ‎Western Governor's University (WGU)‎

الأمان

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن المخترق من استغلال نقاط الضعف في خوارزمية تشفير الرسوم RC4

الوصف: تمت معالجة هذه المشكلة عن طريق إزالة RC4.

CVE-2016-1777:‏ Pepi Zawodsky

الأمان

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن مستخدم محلي من التسبب في رفض الخدمة

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2018-4395:‏ Patrick Wardle من Digita Security

تاريخ إضافة الإدخال: 30 أكتوبر 2018

إطار عمل الأعراض

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2018-4203:‏ ‎Bruno Keith (@bkth_)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تاريخ إضافة الإدخال: 30 أكتوبر 2018

نص

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف نصي متطفل إلى رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق من الصحة المحسّن.

CVE-2018-4304:‏ ‎jianan.huang (@Sevck)‎

تاريخ إضافة الإدخال: 30 أكتوبر 2018

WebKit

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد يؤدي موقع ويب ضار إلى حدوث سلوك غير متوقع عبر مصادر مختلفة

الوصف: وُجدت مشكلة عبر مصادر مختلفة في عناصر iframe. وقد تمت معالجة هذه المشكلة من خلال التتبع المحسّن لمصادر الأمان.

CVE-2018-4319:‏ John Pettitt من Google

تاريخ إضافة الإدخال: 24 سبتمبر 2018

WebKit

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: يؤدي التفاعل غير المتوقع إلى حدوث عطل في ASSERT

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4361: وُجدت بواسطة OSS-Fuzz

CVE-2018-4474:‏ وُجدت بواسطة OSS-Fuzz

تاريخ إضافة الإدخال: 24 سبتمبر 2018، تاريخ التحديث: 22 يناير 2019

WebKit

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: يؤدي التفاعل غير المتوقع إلى حدوث عطل في ASSERT

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن.

CVE-2018-4191: وُجدت بواسطة OSS-Fuzz

تاريخ إضافة الإدخال: 24 سبتمبر 2018

WebKit

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: SecurityErrors عبر مصادر مختلفة تتضمن مصدر الإطار الذي يتم الوصول إليه

الوصف: تمت معالجة المشكلة من خلال إزالة معلومات المصدر.

CVE-2018-4311:‏ ‎Erling Alf Ellingsen (@steike)‎

تاريخ إضافة الإدخال: 24 سبتمبر 2018

WebKit

متوفر لما يلي: Apple Watch Series 1 والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2018-4299:‏ Samuel Groβ (saelo) بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

CVE-2018-4359:‏ ‎Samuel Groß (@5aelo)‎

CVE-2018-4358:‏ فريق ‎@phoenhex team (@bkth_ @5aelo @_niklasb)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تاريخ إضافة الإدخال: 24 سبتمبر 2018

تقدير آخر

Core Data

يسعدنا أن نتقدم بخالص الشكر إلى Andreas Kurtz (@aykay) من NESO Security Labs GmbH على مساعدته لنا.

Sandbox Profiles

يسعدنا أن نتوجّه بخالص الشكر إلى Tencent Keen Security Lab بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro على تقديم المساعدة لنا.

SQLite

يسعدنا أن نتقدم بخالص الشكر إلى Andreas Kurtz (@aykay) من NESO Security Labs GmbH على مساعدته لنا.

WebKit

يسعدنا أن نتوجّه بخالص الشكر إلى Tencent Keen Security Lab بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro على تقديم المساعدة لنا.

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: